Bezpečnostní odborníci ze skupiny Cisco Talos, Paul Rascagneres a Vitor Ventures, publikovali výsledky extenzivní studie zaměřené na to, jak lze oklamat snímače biometrických systémů u rozpoznávání otisků prstů.
Výsledkem jsou smartphony, které poskytnou přístup do zařízení zločincům – samozřejmě teoreticky, v praxi nejde o využívané metody, prozatím.
Biometrické zabezpečení je stále častější. Rozpoznávání obličeje, čtečka rohovky oka či klasicky otisků prstů nabývá na významu i u běžných spotřebitelů a je součástí smartphonů už i nižší střední třídy – alespoň v případě otisků prstů.
Naše otisky prstů jsou relativně unikátní. Relativně je klíčové slovo – už dříve se ukázalo, že nejde ani zdaleka o 100% bezpečný systém a měl by vždy být doprovázen jinou metodou ověření identity, tedy dvoufázovou autentizací. Pro běžné použití je ale všeobecně dostačující, metody, jak ho překonat, bývají poměrně složité. Nejinak je tomu i v tomto případě.
Otisky prstů pravé nebo falešné?
Současná technologie je sice pokročilejší, ale vědcům z Cisco Talos se stejně podařilo současné snímače překonat podvodem, a to u všech třech nejpopulárnějších výrobců: Applu, Samsungu a Huawei. Obejít se vědcům podařilo všechny tři typy běžných snímačů, optické, kapacitní i ultrasonické.
V průměru dosáhly úspěšnosti až přibližně 80 % na všech testovaných typech snímačů u chytrých telefonů, a to pomocí falešných otisků prstů vytištěných na 3D tiskárně. To je zarážející míra úspěšnosti.
To ale neznamená, že je obejití současného systému zabezpečení jednoduché. Naopak, podle obou výzkumníků jde o těžkou a náročnou práci s řadou nepraktických omezení, které nedovolují zneužití těchto zranitelností v praktickém světě.
V reálném světě by byl především problém se získáním falešných otisků prstů. Sesbírat je by bylo nutné ve chvíli, kdy by se oběť nemohla bránit, třeba v bezvědomí, a následně by bylo ještě nutné model vytisknout; to je v běžných situací naprosto nerealistické.
Testovány nebyly pouze smartphony, ale také notebooky, USB flash disky a chytré zrámky, zranitelná byla všechna zařízení. Míra zranitelnosti se významně lišila.
Mezi jednotlivými zařízeními se rozdíly našly. Překvapivě v oblasti bezpečnosti vyhrály notebooky s Windows 10 a frameworkem Windows Hello; vědcům se nepodařilo z pěti modelů odemknout ani jediný, ani jedinkrát. Naopak u MacBooků Pro měli 95% úspěšnost.
U flash disků značek Verbatim a Lexar se nepodařilo vědcům proniknout ani do jednoho, naopak do chytrého zámku Aicase ano.
Vědci tedy odhalili, že otisky prstů z 3D tiskárny dokážou spolehlivě prolomit některé formy biometrického zabezpečení, obzvláště na chytrých telefonech a potenciálně i jinde, jako jsou chytré zámky. Ve spojení s obtížemi se získání vzorků a expertízy a materiálů vyžadovaných k jejich následnému vytištění ale naštěstí není nijak pravděpodobné, že by se tato metoda kybernetického zločinu rozšířila.
